ITSEC (Information Technology Security Evaluation Criteria) jest zbiorem kryteriów oceny bezpieczeństwa systemów teleinformatycznych stosowanym w dużych przedsiębiorstwach i organizacjach państwowych. Należy do standardów, na podstawie których można przeprowadzać certyfikację systemów i produktów teleinformatycznych.
ITESEC: ocena bezpieczeństwa systemów teleinformatycznych
W przypadku bezpieczeństwa teleinformatycznego musimy brać pod uwagę zarówno środki nietechniczne (zachowania pracowników, rozwiązania administracyjne itp.), jak i techniczne. Kryteria oceny bezpieczeństwa teleinformatycznego według ITSEC Standard Information Technology Security Evaluation Criteria (ITSEC) stawiają wymagania dla:
- produktu;
- procesu projektowania produktu;
- środowiska wytwarzania produktu;
- dokumentacji produktu;
- zalecanego środowiska eksploatacyjnego.
Zgodnie z tym systemem oceny bezpieczeństwa już na etapie projektowania należy uwzględnić analizę kosztów wprowadzonych zabezpieczeń i analizę ryzyka, która powinna zapewnić stopień bezpieczeństwa proporcjonalny do tego, jak ważna jest chroniona informacja oraz do ilości środków.
Dziesięć klas funkcjonalności ITSEC
Stosując normy ITSEC dokonujemy oceny mechanizmów bezpieczeństwa pod kątem ich poprawności i skuteczności. Przy czym:
- skuteczność wyrażana jest w trzystopniowej skali (niska, średnia wysoka). Parametr ten określa zdolność do przeciwstawiania się zagrożeniom;
- poprawność określa się w skali siedmiostopniowej (E0 do E6) biorąc pod uwagę dokładność i jakość procesu kontroli mechanizmów bezpieczeństwa.
Dziesięć klas funkcjonalności określa to, w jakim stopniu są spełnione wymagania funkcjonalności. Są to: F-C1, F-C2, F-B1, F-B2, F-B3, F-IN, F-AV, F-DI, F- DC, F-DX 3.
Pierwsza wersja ITSEC została wprowadzona wspólnie przez Francję, Niemcy, Holandię i Wielką Brytanię w 1990 roku. Kolejna wersja pojawiła się rok później. Została opublikowana przez Komisję Europejską. W odróżnieniu od wcześniejszego standardu TCSEC, kryteria ITSEC nie wskazują konkretnych rozwiązań, dzięki czemu zachowują niezależność od postępu technicznego oraz neutralność technologiczną.
Źródła:
BIULETYN INSTYTUTU AUTOMATYKI I ROBOTYKI NR 17, 2002 97 Standardy w ocenie bezpieczeństwa teleinformatycznego. Krzysztof LIDERMAN. Zakład Systemów Komputerowych, Instytut Automatyki i Robotyki WAT, ul. Kaliskiego 2, 00-908 Warszawa
edu.pjwstk.edu.pl